Dopo il primo caso di truffa CompEd spiega l’utilizzo corretto e sicuro della tecnologia.
Una notizia diffusa recentemente dall’Agi, relativa a una frode telematica tramite falsificazione della firma digitale perpetrata ai danni di un’azienda ha portato all’attenzione il tema della sicurezza e della fiducia nelle tecnologie di autenticazione.
Secondo quanto riportato, un commercialista, un consulente per la sicurezza sul lavoro, e una fantomatica società intestata a una persona defunta da circa un anno e invece facente capo a un soggetto sconosciuto al fisco, si sono procurati una copia indebita della firma digitale di un piccolo imprenditore attingendo al sistema informatico delle Camere di Commercio.
La truffa è stata scoperta dal Nucleo speciale frodi telematiche della Guardia di finanza.
Dopo perquisizioni e sequestri effettuati a Roma e provincia, i tre indagati devono ora rispondere dei reati di sostituzione di persona, false dichiarazioni o attestazioni al certificatore di firma elettronica sull’identità o qualità personali proprie o di altri, falsità in atti pubblici, in scritture private e in documenti informatici.
Come tutelarsi
CompEd sottolinea come la firma digitale sia sicura ed invulnerabile, purché venga rispettato un corretto comportamento nel suo utilizzo.
La società ligure pone l’accento sulla sicurezza e sull’inviolabilità della tecnologia, approfondendo le precauzioni da adottare per evitare potenziali rischi.
Tra le più importanti: l’osservazione una meticolosa procedura di rilascio, la conservazione accurata della smartcard e del Pin, una corretta scelta dei software di firma e verifica, una particolare attenzione sui sistemi di firma remota.
Il punto più critico del sistema è il rilascio iniziale della smartcard: dopo l’identificazione personale, si ha la consegna materiale di smartcard e Pin e la firma di un contratto di servizio che descrive in dettaglio la procedura, da seguire scrupolosamente evitando approssimazioni e semplificazioni.
La smartcard è un oggetto sicuro, che si attiva digitando un Pin segreto. Occorre evitare di tenere copia del Pin con la carta e, in caso di smarrimento, richiedere immediatamente la revoca.
Sta crescendo l’offerta commerciale di sistemi di firma remota, ossia di server che centralizzano chiavi private e certificati abolendo il rilascio della smartcard, per alcuni aspetti più flessibili del sistema con smartcard, ma oggettivamente meno sicuri: il titolare affida la propria chiave al gestore.
Occorre quindi particolare prudenza nella scelta del fornitore e nella tipologia di transazioni affidate a questo sistema.
Il software di firma digitale materialmente associa la firma al singolo documento.
Un software difettoso o addirittura malevolo potrebbe indurre a firmare qualunque cosa: ovunque possibile si deve quindi usare un software di fiducia.
Talvolta, specie usando la firma remota, si è costretti ad utilizzare una procedura di firma integrata in un’applicazione Web: in tali casi deve essere possibile avere una copia di ciò che si firma.
Il software di verifica delle firme altrui è anche più importante di quello di firma: bisogna usare un prodotto affidabile e dalla reputazione inappuntabile, capace di rilevare ogni anomalia. In particolare una firma deve essere apposta dal titolare con un certificato qualificato, non scaduto, non sospeso, non revocato al momento della firma.
Per CompEd è importante collocare una firma nel tempo: se il documento ricevuto non è provvisto all’origine di una Marca Temporale il destinatario deve poterla aggiungere, per prevenire la scadenza o la revoca del certificato.
Bisogna poi diffidare in generale quando un sistema di verifica della firma riferisce messaggi del tipo “non è possibile accertare l’attendibilità del certificato” o “non è possibile accedere alle informazioni di revoca”: la verifica deve essere superata inequivocabilmente.